Como remover virus sality definitivamente

6 de outubro de 2011 Blog Dicas Anti-vírus

Para remover o virus sality que possui algumas variantes, é necessário analisar primeiramente alguns pontos:

Se o computador que apresenta o virus está em rede

As maquinas da rede utilizam mapeamento de rede como por exemplo F: Z: baseados em algum servidor

Situação 1 – computador não está em rede:

Caso o equipamento seja único e não esteja em rede será mais fácil siga os passos a seguir:

Desative a restauração de sistema

Desative a proteção em tempo real de seu anti-virus

Baixe os arquivos nos links abaixo

http://support.kaspersky.com/downloads/utils/sality_off.zip

http://media.kaspersky.com/utilities/VirusUtilities/EN/sality_regkeys.zip

este arquivo zipado contem 2 pastas, Na pasta sality_regkeys clique duas vezes no disable_autorun.reg e aceita a edição de registro, faça isso também no safeboot_(Windows que você utiliza).reg

Agora execute dentro da outra pasta chamada salitykiller o executavel salitykiiller.exe ele ira fazer um escaneamento demorado verificando todos os arquivos infectados.
No final ele ira apresentar se todos os arquivos foram limpos com êxito.

Após isso reinicie o equipamento, ative novamente o anti-virus e a restauração de sistema, agora é só analisar que o sality não ira mais perturbar.

Situação 2 – computador em rede:

Os micros não se infectam simplesmente por estar em rede, mas sim por que utilizam algum mapeamento em algum servidor ou terminal, sendo assim quando acessam o mapeamento sendo ele com qualquer letra (exmplo: F: G: M:).

Ao acessar esse mapeamento os computadores que não estão protegidos executam o autorun.inf que é o arquivo que contamina a maquina e espalha pequenos executáveis que causam todo transtorno. Sendo assim verifique qual o mapeamento e que máquina é esta que esta compartilhando tal arquivo autorun.inf, lembre-se de começar a limpeza por ela.

Uma recomendação para que não volte a ter o problema as pastas compartilhadas devem ter uma pasta chamada autorun.inf com permissões apenas de leitura.

Iniciando a Limpeza micro a micro na rede com o Switch ou cabo de rede desligado:

Desative a restauração de sistema

Desative a proteção em tempo real de seu anti-virus

Baixe os arquivos nos links abaixo

http://support.kaspersky.com/downloads/utils/sality_off.zip

http://media.kaspersky.com/utilities/VirusUtilities/EN/sality_regkeys.zip

este arquivo zipado contem 2 pastas, Na pasta sality_regkeys clique duas vezes no disable_autorun.reg e aceita a edição de registro, faça isso também no safeboot_(Windows que você utiliza).reg

Após isso reinicie o equipamento, ative novamente o anti-virus e a restauração de sistema, agora é só analisar que o sality não ira mais perturbar.

Qualquer dúvida façam seus comentários,

Obrigado.

Share this content:

51 Comentários

Manu11 de outubro de 2011 9:18

Esse virus é muito ruim, dificil de tirar pra mim apareceu como sality/32

Malcon TI30 de outubro de 2011 17:33

Ta dificil remover esse sality, o praga
vou tentar pelo tutorial, valeu

MCC Informatica9 de novembro de 2011 9:46

Por que o virus sality se propaga na rede?

Fernando Lofrano9 de novembro de 2011 20:36

Por causa das maquinas que acessam o mapeamento assim lendo o autorun.inf

Adelio Barbosa1 de dezembro de 2011 10:20

Olá Lofrano, tudo bem, espero que sim, meu brother foi pela sua dica que consegui parcialmente exluir uma série desse virus “SALYTI”, tenho uma lanhouse, e me cansei de todo dia ter que formatar máquinas, mas uma duvida ainda tenho porque nao posso fazer um scaneamento em rede (ligada), GRATO pela atenção e mais uma vez parabens pelo trabalho.

Fernando Lofrano4 de dezembro de 2011 15:47

Adélio obrigado, o que faz o sality infectar as maquinas é o mapeamento que você tem nos terminais ex: F: h: a pasta que se refere o mapeamento tem um arquivo autorun.inf que faz executar o virus e infectar novamente, por isso verifique seu servidor e crie no lugar uma pasta autorun.inf com arquivos dentro para que o sality não altere mais.

Fernando Lofrano4 de dezembro de 2011 15:49

Outra coisa importante é desabilitar o auto executar dos terminais.

Lucio8 de março de 2012 17:47

Boa tarde, prezado amigo, vou seguir seu conselho,
esse bicho encasquetado, invadiu minha rede e ta dando um maior trabalho pra jogar ele fora, ele é pior que o 007 pra morrer..
ja fizemos de tudo, porem, a sua dica ainda nao fizemos…
se funcionar, voce merecerá um premio por esta postagem. grande abraço e Parabens pela brilhante iniciativa de cooperação.

Seus conhecimentos sao importantes para nossa rede profissional.

Fernando Lofrano9 de março de 2012 8:57

Lúcio, funciona perfeitamente, se tiver duvidas pode contar conosco

Rafael21 de março de 2012 17:27

Boa tarde, muito boa suas instruções. Consegui eliminar este virus. muito grato.

Marcelo RIck27 de março de 2012 13:33

eu percebi que em um dos meus computadores clientes persistia o mapeamento h: fui lá no prompt de comando e digitei net use * /delete
tudo certo!

Cassemiro4 de maio de 2012 18:47

CARA VOU LHE DAR A DICA, DESATIVE A RESTAURAÇAO DO SISTEMAS DE TODAS AS UNIDADES, BAIXE O ANTIVIRUS NOD32, E ASSIM QUE VOCE INSTALAR QUE ELE COMEÇAO A RODAR APOS A INSTALAÇAO ELE VAI ENCONTRAR O SALITY NA MEMORIA RODANDO, E VAI PEDIR PARA REINICIAR PARA REMOVER O VIRUS, REINICIE O PC, E DEPOIS ATUALIZE O ANTIVITUS, E ESCEIE COMPLETAMENTE, FIZ O TESTE COM UNS 20 ANTIVIRUS DISTINTOS E NAO TIVE SUCESSO, O UNICO QUE RESOLVEL MEU PROBLEMA FOI CO O ESET NOD32, PODE DEIXAR ELE ESCANEAR, ELE IRA ENCONTRAR MUITOS ARQUIVOS COM O NOME DE ARQUIVOS SEUS, MAS AI E QUE ESTA, O SALITY ELE SE CLONA COM SEUS ARQUIVOS PARA CONFUNDDIR O USUARIO E FAZER O USUARIO DESATIVAR O ANTIVIRUS, MANDE O NOD32 FAZER UMA LIMPEZA GERAL NA UNIDADE C: DEPOIS EM D:, DEPOIS PASSE O CCLEANER PARA LIMPARA TODAS AS CHAVES INVALIDAS CRIADAS PELO VIRUS, E PRONTO…

Jandson Santos Souza4 de junho de 2012 9:47

Obrigado amigo tava precisando mesmo!

Lekxuz2 de julho de 2012 0:08

Pega msm?

carlos22 de agosto de 2012 2:01

A PASTA sality_regkeys NAO TEM PRA WINDOWS 7.O QUE EU FAÇO ???????

Fernando Lofrano23 de agosto de 2012 23:07

Pode usar a mesma pra windows 7

Renan22 de outubro de 2012 15:30

e esse programa que você passou ele limpa os prog infectados ou exclui todos eles? pq o avast ele até localiza porem pra remove-lo soh excluindo td…e tem arquivos aqui que não posso perder….

brigadão pelo tutorial

Fernando Lofrano23 de outubro de 2012 7:19

O sality remover apenas limpa os arquivos

Jeferson3 de dezembro de 2012 16:24

Estou fazendo o teste aqui, e torcendo pra que tudo de certo, tenho 12 maquinas infectadas por esse maldito Sality.
Tenho uma duvida, vc sabe se realmente as informaçoes que entram nos pcs vao pra um email?
Obrigado

Fernando Lofrano6 de dezembro de 2012 9:26

Seguindo os passos jeferson, pode ter certeza que tudo será resolvido.
Não esqueça de trabalhar o arquivo na maquina que está infectando, no caso um servidor com Sality

Adelson Filgueiras14 de janeiro de 2013 9:08

Carissimo esse virus me pegou de cheio, e o pior é que falei com o técnico e ele me disse que era um arquivo do windows. Até eu me tocar que o cara tava errado paguei auto. Mas a dica que peguei aqui me deu uma noção por auto do que era o problema. Exigi da empresa que me da suporte que consultasse na net, foi ai que resolvi o problema. MUITISSIMO OBRIGADO

Fernando Lofrano14 de janeiro de 2013 9:45

Não existe problema que não tenha solução! Remover o virus sality e um deles

vini18 de março de 2013 19:32

esse virus sality, nao tem função certo? ou eh possivel q tenha um keylogger? ;s

Fernando Lofrano19 de março de 2013 9:05

Correto vini, ele não tem função, aliás a função do sality é enxer o saco rs

vini19 de março de 2013 12:13

meu, muito obrigado, eu fiz isso ontem, demorou ate hj de amanha, pois meu pc possui uns 200 gb em jogo etc todos os foram encontrados e como o programa disse “cured” só que o problema do Microsoft visual c+++ o erro la de floating ainda persiste ;/

vini19 de março de 2013 12:23

foram mais de 6 mil arquivos infectados, antes eu nao conseguia entrar no site do kaspersky, nao sei proque uhahua dava erro , agr consigo.. vou baixar o kis 2013 e ver o q mais tem de virus aki ;s mas essa chatisse do visual c+++ é cpmplicado ;s

Gustavo3 de abril de 2013 15:40

Meu servidor é linux (samba) como faço para remover esse virús? já tentei de tudo..

Fernando Lofrano3 de abril de 2013 18:23

Observe que voce tem no servidor linux a pasta compartilhada e a mesma tem um arquivo chamado autorun.inf vc precisa deletar, no linux tem a função veto de que esse arquivo não seja gravado novamente na pasta

Rock11 de maio de 2013 12:26

Vlw funciono aqui limpo o sality 😀 Muito bom esse site Muito obrigado….

fontanelli29 de maio de 2013 21:19

mas nao tem pro win 7??

fontanelli29 de maio de 2013 21:27

mais acima vc escreveu que pode usar a mesma pra win7…mas qual?? XP? Vista? ou sao todas iguais?

Fernando Lofrano30 de maio de 2013 12:41

serve para todos, windows xp vista e 7

Gustavo17 de julho de 2013 20:37

Não consegui fazer a edição do registro do arquivo Safeboot, apenas do Autorun. Quando tento, ocorre um erro. Informa que algumas chaves estão abertas pelo sistema ou outros processos.
Há alguma solução?
Att, Gustavo.

Fernando Lofrano17 de julho de 2013 22:54

Preocupe-se com o mapeamento que há no computador, tipo F: direcionado a um servidor, este servidor deve estar contaminando

Gustavo18 de julho de 2013 0:40

Não compreendi. Poderia me explicar mais detalhadamente? Não tenho um conhecimento amplo em informática.

Jansen28 de outubro de 2013 10:09

Já tentei de tudo para tirar esse safado da rede, oh vírus chato em! Sabe me dizer se ele se propaga por compartilhamentos SAMBA sem mapeamento? Tenho servidor SAMBA (linux) e servidor Windows e não sei ao certo se os dois estão com o problema.

Fernando Lofrano28 de outubro de 2013 10:23

O sality utiliza do mapeamento para se propagar, mesmo se o mapeamento for em distribuições linux
sem mapeamento ele não consegue infectar novamente.

Cleber29 de outubro de 2013 14:31

Boa tarde, também estou sofrendo por causa desse sality, mas o link da descrição não é encontrado… isso acontece só comigo ? Obrigado

Fernando Lofrano31 de outubro de 2013 8:15

o link http://www.circuitoonline.com.br/downloads/remover_sality.zip
foi corrigido.

Helielton12 de fevereiro de 2014 16:55

Amigo, belo post, fiz como manda o figurino, todas as maquinas da rede foi perfeito porem teve uma que ainda ficou com um infectado dos arquivos de restauracao, porem a restauracao esta desativada, tem algum macete? muito agradecido!!

Fernando Lofrano12 de fevereiro de 2014 18:14

desativar a restauração automatica e aplicar novamente.
verifique também o servidor ou máquina que está fazendo compartilhamento de pastas

deivid13 de março de 2014 18:52

porque tenho que desativar a restauraçao do sistema?

rafaele21 de março de 2014 14:30

quando eu clico para aceita a edição de registro da um erro que registro foi desativado pelo usuario

Fernando Lofrano21 de março de 2014 21:13

voce precisa de permissões administrativas

João Ricardo19 de maio de 2014 6:59

esse seu tutorial usa os arquivos do karpesky certo? eu to seguindo um tutorial “parecido” com os arquivos que o kaspersky fornece, e me indicaram deixar o Salitykiller como atalho no “startup” com o -M. esse virus é uma merda, esse virus é so mesmo para encher o saco? porque eu vi nos bancos de dados de varios Antivirus que alguns como o sality.ae tão definidos como risco alto

Lofrano19 de maio de 2014 19:28

Não esqueça de ver os mapeamentos, eles fazem a propagação do sality

RONALDO4 de julho de 2014 20:41

Boa noite Lofrano, estou com esse problema na loja em que trabalho fiz o procedimento conforme o passo a passo mesmo assim o vírus persiste. Peço ajuda para tentar resolver, XP SP3. Grato desde já.

Lofrano6 de julho de 2014 16:06

Não esqueça de desativar a restauração do sistema antes!
e o problema maior é o mapeamento, verifique seu servidor, e se possivel execute a vacina com o swith desligado.

otavio3 de dezembro de 2015 8:47

prezado lofrano, estou aqui porque nao con sigo entrar no site que voce recomendou e eu ja destivei as coisas que pedia assim: ele entra mas o primeiro qudrinho esta dando error e nao achei nenhuma pasta oque eu faço amigo?

Lofrano4 de dezembro de 2015 10:28

segue
http://support.kaspersky.com/downloads/utils/sality_off.zip

Leandro Lucarelli15 de abril de 2016 13:24

Sendo assim verifique qual o mapeamento e que máquina é esta que esta compartilhando tal arquivo autorun.inf, lembre-se de começar a limpeza por ela.

Ak como faço pra saber qual e a maquina ? tenho muitas maquinas com pastas compartilhadas tem uma forma mais rápido ou vou ter que ir em maquina por maquina.
Uma recomendação para que não volte a ter o problema as pastas compartilhadas devem ter uma pasta chamada autorun.inf com permissões apenas de leitura.
como seria isso ?

Transformação Digital no Mundo do E-Commerce